Ataki na apache |
Ataki na apache |
10.10.2010, 16:58:30
Post
#1
|
|
Grupa: Zarejestrowani Postów: 27 Pomógł: 1 Dołączył: 18.11.2008 Ostrzeżenie: (0%) |
Witam!
Mam pytanie jak mogę zatrzymać następujące ataki na serwer: oto log apache: 83.30.4.216 - - [10/Oct/2010:16:56:23 +0200] "GET /adres zakładki HTTP/1.0" 500 876 "-" "ApacheBench/2.3" prosiłbym o szybką radę gdyż jakiś idiota zajeżdża mi serwer. VPS stoi na Directadminie. Z góry dziękuję za odpowiedzi. pozdrawiam -------------------- przewozy autokarowe - wynajem autokarów.
Wodzirej na wesele śląsk - Polecam świetnego DJ-a na wesele |
|
|
10.10.2010, 18:17:00
Post
#2
|
|
Grupa: Zarejestrowani Postów: 471 Pomógł: 89 Dołączył: 29.07.2008 Skąd: Warszawa Ostrzeżenie: (0%) |
dodaj jego IP w sekcji deny
|
|
|
12.10.2010, 13:37:39
Post
#3
|
|
Grupa: Zarejestrowani Postów: 449 Pomógł: 16 Dołączył: 25.05.2004 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%) |
Podepne się do tematu. Mojego Apache coś szpieguje, tj stara się trafić w istniejące skrypty instalacji itp. Na przykład:
Cytat 87.120.102.82 - - [10/Oct/2010:07:36:47 +0200] "GET /admin/phpmyadmin/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:36:48 +0200] "GET /admin/phpMyAdmin/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:36:49 +0200] "GET /admin/sysadmin/main.php HTTP/1.0" 404 221 87.120.102.82 - - [10/Oct/2010:07:36:49 +0200] "GET /admin/sqladmin/main.php HTTP/1.0" 404 221 87.120.102.82 - - [10/Oct/2010:07:36:49 +0200] "GET /admin/db/main.php HTTP/1.0" 404 215 87.120.102.82 - - [10/Oct/2010:07:36:49 +0200] "GET /admin/web/main.php HTTP/1.0" 404 216 87.120.102.82 - - [10/Oct/2010:07:36:50 +0200] "GET /admin/pMA/main.php HTTP/1.0" 404 216 87.120.102.82 - - [10/Oct/2010:07:36:50 +0200] "GET /admin/main.php HTTP/1.0" 404 212 87.120.102.82 - - [10/Oct/2010:07:36:50 +0200] "GET /admin/mysql/main.php HTTP/1.0" 404 218 87.120.102.82 - - [10/Oct/2010:07:36:50 +0200] "GET /admin/myadmin/main.php HTTP/1.0" 404 220 87.120.102.82 - - [10/Oct/2010:07:36:51 +0200] "GET /admin/webadmin/main.php HTTP/1.0" 404 221 87.120.102.82 - - [10/Oct/2010:07:36:51 +0200] "GET /admin/sqlweb/main.php HTTP/1.0" 404 219 87.120.102.82 - - [10/Oct/2010:07:36:51 +0200] "GET /admin/websql/main.php HTTP/1.0" 404 219 87.120.102.82 - - [10/Oct/2010:07:36:51 +0200] "GET /admin/webdb/main.php HTTP/1.0" 404 218 87.120.102.82 - - [10/Oct/2010:07:36:52 +0200] "GET /admin/mysqladmin/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:36:55 +0200] "GET /admin/mysql-admin/main.php HTTP/1.0" 404 224 87.120.102.82 - - [10/Oct/2010:07:36:55 +0200] "GET /admin/phpmyadmin2/main.php HTTP/1.0" 404 224 87.120.102.82 - - [10/Oct/2010:07:36:55 +0200] "GET /admin/php-my-admin/main.php HTTP/1.0" 404 225 87.120.102.82 - - [10/Oct/2010:07:36:55 +0200] "GET /admin/phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 229 87.120.102.82 - - [10/Oct/2010:07:36:56 +0200] "GET /admin/phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 229 87.120.102.82 - - [10/Oct/2010:07:36:56 +0200] "GET /admin/phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 229 87.120.102.82 - - [10/Oct/2010:07:36:56 +0200] "GET /admin/phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 229 87.120.102.82 - - [10/Oct/2010:07:36:56 +0200] "GET /admin/phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 229 87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 229 87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 233 87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 233 87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 229 87.120.102.82 - - [10/Oct/2010:07:36:57 +0200] "GET /admin/phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 233 87.120.102.82 - - [10/Oct/2010:07:36:58 +0200] "GET /admin/phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 233 87.120.102.82 - - [10/Oct/2010:07:36:58 +0200] "GET /admin/padmin/main.php HTTP/1.0" 404 219 87.120.102.82 - - [10/Oct/2010:07:36:58 +0200] "GET /admin/datenbank/main.php HTTP/1.0" 404 222 87.120.102.82 - - [10/Oct/2010:07:36:58 +0200] "GET /admin/database/main.php HTTP/1.0" 404 221 87.120.102.82 - - [10/Oct/2010:07:36:59 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 403 221 87.120.102.82 - - [10/Oct/2010:07:36:59 +0200] "GET /phpMyAdmin/main.php HTTP/1.0" 404 217 87.120.102.82 - - [10/Oct/2010:07:36:59 +0200] "GET /db/main.php HTTP/1.0" 404 209 87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /web/main.php HTTP/1.0" 404 210 87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /admin/main.php HTTP/1.0" 404 212 87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /mysql/main.php HTTP/1.0" 404 212 87.120.102.82 - - [10/Oct/2010:07:37:00 +0200] "GET /myadmin/main.php HTTP/1.0" 404 214 87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /webadmin/main.php HTTP/1.0" 404 215 87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /sqlweb/main.php HTTP/1.0" 404 213 87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /websql/main.php HTTP/1.0" 404 213 87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /webdb/main.php HTTP/1.0" 404 212 87.120.102.82 - - [10/Oct/2010:07:37:01 +0200] "GET /mysqladmin/main.php HTTP/1.0" 404 217 87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /mysql-admin/main.php HTTP/1.0" 404 218 87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /phpmyadmin2/main.php HTTP/1.0" 404 218 87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /php-my-admin/main.php HTTP/1.0" 404 219 87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:37:02 +0200] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:37:03 +0200] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:37:03 +0200] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:37:03 +0200] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:37:03 +0200] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:37:06 +0200] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 227 87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 227 87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 223 87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 227 87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 227 87.120.102.82 - - [10/Oct/2010:07:37:07 +0200] "GET /padmin/main.php HTTP/1.0" 404 213 87.120.102.82 - - [10/Oct/2010:07:37:08 +0200] "GET /datenbank/main.php HTTP/1.0" 404 216 87.120.102.82 - - [10/Oct/2010:07:37:08 +0200] "GET /database/main.php HTTP/1.0" 404 215 oraz Cytat 41.197.20.10 - - [10/Oct/2010:20:19:37 +0200] "GET /install.txt HTTP/1.1" 404 209 41.197.20.10 - - [10/Oct/2010:20:19:38 +0200] "GET /cart/install.txt HTTP/1.1" 404 214 41.197.20.10 - - [10/Oct/2010:20:19:38 +0200] "GET /zencart/install.txt HTTP/1.1" 404 217 41.197.20.10 - - [10/Oct/2010:20:19:39 +0200] "GET /zen-cart/install.txt HTTP/1.1" 404 218 41.197.20.10 - - [10/Oct/2010:20:19:40 +0200] "GET /zen/install.txt HTTP/1.1" 404 213 41.197.20.10 - - [10/Oct/2010:20:19:40 +0200] "GET /shop/install.txt HTTP/1.1" 404 214 41.197.20.10 - - [10/Oct/2010:20:19:41 +0200] "GET /butik/install.txt HTTP/1.1" 404 215 41.197.20.10 - - [10/Oct/2010:20:19:42 +0200] "GET /zcart/install.txt HTTP/1.1" 404 215 41.197.20.10 - - [10/Oct/2010:20:19:42 +0200] "GET /shop2/install.txt HTTP/1.1" 404 215 41.197.20.10 - - [10/Oct/2010:20:19:43 +0200] "GET /catalog/install.txt HTTP/1.1" 404 217 41.197.20.10 - - [10/Oct/2010:20:19:43 +0200] "GET /boutique/install.txt HTTP/1.1" 404 218 41.197.20.10 - - [10/Oct/2010:20:19:44 +0200] "GET /cart/install.txt HTTP/1.1" 404 214 41.197.20.10 - - [10/Oct/2010:20:19:45 +0200] "GET /store/install.txt HTTP/1.1" 404 215 i jeszcze to: Cytat 222.73.227.18 - - [11/Oct/2010:23:30:01 +0200] "GET /roundcube//bin/msgimport HTTP/1.1" 404 222 222.73.227.18 - - [11/Oct/2010:23:30:03 +0200] "GET /rc//bin/msgimport HTTP/1.1" 404 215 222.73.227.18 - - [11/Oct/2010:23:30:04 +0200] "GET /mss2//bin/msgimport HTTP/1.1" 404 217 222.73.227.18 - - [11/Oct/2010:23:30:05 +0200] "GET /mail//bin/msgimport HTTP/1.1" 404 217 222.73.227.18 - - [11/Oct/2010:23:30:05 +0200] "GET /mail2//bin/msgimport HTTP/1.1" 404 218 222.73.227.18 - - [11/Oct/2010:23:30:06 +0200] "GET /roundcubemail//bin/msgimport HTTP/1.1" 404 226 222.73.227.18 - - [11/Oct/2010:23:30:07 +0200] "GET /rms//bin/msgimport HTTP/1.1" 404 216 222.73.227.18 - - [11/Oct/2010:23:30:08 +0200] "GET /webmail2//bin/msgimport HTTP/1.1" 404 221 222.73.227.18 - - [11/Oct/2010:23:30:30 +0200] "GET /wm//bin/msgimport HTTP/1.1" 404 215 222.73.227.18 - - [11/Oct/2010:23:30:30 +0200] "GET /bin/msgimport HTTP/1.1" 404 211 222.73.227.18 - - [11/Oct/2010:23:30:30 +0200] "GET /roundcubemail-0.1//bin/msgimport HTTP/1.1" 404 230 222.73.227.18 - - [11/Oct/2010:23:30:30 +0200] "GET /roundcubemail-0.2//bin/msgimport HTTP/1.1" 404 230 222.73.227.18 - - [11/Oct/2010:23:30:31 +0200] "GET /roundcube-0.1//bin/msgimport HTTP/1.1" 404 226 222.73.227.18 - - [11/Oct/2010:23:30:32 +0200] "GET /roundcube-0.2//bin/msgimport HTTP/1.1" 404 226 222.73.227.18 - - [11/Oct/2010:23:30:33 +0200] "GET /round//bin/msgimport HTTP/1.1" 404 218 222.73.227.18 - - [11/Oct/2010:23:30:34 +0200] "GET /cube//bin/msgimport HTTP/1.1" 404 217 Wiem już że mogę dodać te ip do deny, chociaż i tak raczej nigdy w nic nie trafią. Interesuje mnie natomiast co to za roboty są, co robią jak uda im się trafić jakimś urlem i jak zabezpieczyć się na przyszłość przed podobnymi narzędziami. Ktoś przecież może napisać robota który będzie sprawdzał nie tylko podane urle ale może tak długo kombinować kilku znakowe stringi że wkońcu dostanie coś innego w zwrocie niż 404 ;p Ten post edytował fiszol 12.10.2010, 13:41:31 -------------------- \o/
|
|
|
12.10.2010, 16:11:05
Post
#4
|
|
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
Cytat Interesuje mnie natomiast co to za roboty są, co robią jak uda im się trafić jakimś urlem i jak zabezpieczyć się na przyszłość przed podobnymi narzędziami. Co robią? Szukają dziur w sofcie, aby podpiąć swój malware. Zabezpieczenie będzie ciężkie; trzeba poszukać plików-definicji do tego typu skanerów i na ich podstawie próbować. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW! |
|
|
13.10.2010, 10:34:20
Post
#5
|
|
Grupa: Zarejestrowani Postów: 27 Pomógł: 1 Dołączył: 18.11.2008 Ostrzeżenie: (0%) |
Jeszcze raz zapytam jak mogę zablokować połączenia typu
83.30.7.79 - - [13/Oct/2010:10:36:22 +0200] "GET /adres_zakładki.php HTTP/1.0" 500 876 "-" "ApacheBench/2.3" Pojawia się ich kilkaset w przeciągu kilkunastu sekund. Powoduje to chwilowe zapchanie apache. Dodam że porady typu "zablokuj IP z którego połączenia pochodzą" są nieskuteczne gdyż ataki pochodzą z różnych IP. Jednego dnia 83.30.7.79 a następnego 83.30.4.216. Chyba ten idiota pseudo haker jest dzieckiem neostrady i blokowanie po IP nie przyniesie skutku. Gdzie można zgłosić takie ataki? Czy zajmuje się tym policja? W końcu nikt w internecie nie jest anonimowy. Pozdrawiam. gdesigner -------------------- przewozy autokarowe - wynajem autokarów.
Wodzirej na wesele śląsk - Polecam świetnego DJ-a na wesele |
|
|
13.10.2010, 12:24:44
Post
#6
|
|
Grupa: Zarejestrowani Postów: 453 Pomógł: 22 Dołączył: 20.09.2004 Skąd: Kraków - NH - Ostrzeżenie: (0%) |
spróbuj blokowania po User Agent. http://httpd.apache.org/docs/2.2/howto/access.html#env punkt "Access control by environment variable".
możesz też spróbować użyć mod_security. -------------------- Warsztat: Windows 7 Pro 64bit | Apache 2.2 | PHP 5.2 | MySQL 5.0 | PHPmyadmin 2.6.4
|
|
|
13.10.2010, 13:30:19
Post
#7
|
|
Grupa: Moderatorzy Postów: 4 362 Pomógł: 714 Dołączył: 12.02.2009 Skąd: Jak się położę tak leżę :D |
RIPE.net, wpisz podany IP w chwili ataku i ślij na podany abuse z dokładnymi informacjami na temat działań ze strony atakującego. Kawałki logów powinny im powiedzieć, że chodzi tu wybitnie o działanie szkodliwe. Ogólnie napisz tyle ile wiesz i licz, że się odezwą z odpowiedzią, która załatwia sprawę cwaniaka. Ale z reakcją bywa różnie, więc jakby co, to po swojej stronie też kombinuj ze sprawdzaniem danych jakie dostajesz przy połączeniu, w tym user-agent. Są w necie adresy IP spammerów, które możesz z pnia wycinać na htaccess-ie i to może też trochę pomóc.
Podobnie spammerów można z IM wycinać. Jeśli na jakiś komunikator dostaję info z linkiem to wyłapuję skąd adres, gdzie abuse lub hostingodawca jest i rozmawiam sobie z adminami lub supportem. Nie dalej jak 2 miechy temu tak zablokowałem działalność spamerską jednego kolesia. W 2-3 godziny od otrzymania wiadomości. Pokątnie udostępniono mu na stronkę miejsce i potem właściciel hostingu mnie mailowo przepraszał, a reklamowaną stronę od razu zdjęto z sieci. Tak więc da się jeśli ktoś chce i wie co robić. -------------------- Najpierw był manual... Jeśli tam nie zawarto słów mądrości to zapytaj wszechwiedzącego Google zadając mu własciwe pytania. A jeśli i on milczy to Twój problem nie istnieje :D
|
|
|
26.10.2010, 14:57:06
Post
#8
|
|
Grupa: Zarejestrowani Postów: 27 Pomógł: 1 Dołączył: 18.11.2008 Ostrzeżenie: (0%) |
Witam.
Dziękuję za odpowiedzi. mod_security jest aktywny i niestety nic nie dał. Dzisiaj włączyłem blokowanie przez User Agent i zobaczę co się będzie działo. Uruchomiłem również mod_limitipconn . Zobaczę jak to się rozwinie. Nie sądzę aby był to jakiś typowy spamer. Wydaje mi się, że to działanie konkurencji. No nic zobaczymy Pozdrawiam. qdesigner Edit: Blokowanie poprzez User Agent pomogło odciążyć serwer Apache. A zgłoszenie ataków do właściciela adresu IP (firmy TP s.a.) poskutkowało zaprzestaniem ataków. Ktoś się po prostu za dużo filmów amerykańskich naoglądał i myślał że jest wielkim hakerem, a dodatkowo ma neta z neostrady gdzie może zmieniać co chwile IP. Dziecinada. Dziękuję za wszelkie sugestie. Pozdrawiam Qdesigner Ten post edytował qdesigner 26.10.2010, 14:57:48 -------------------- przewozy autokarowe - wynajem autokarów.
Wodzirej na wesele śląsk - Polecam świetnego DJ-a na wesele |
|
|
Wersja Lo-Fi | Aktualny czas: 27.04.2024 - 14:18 |